Examensarbete i Informatik
Kandidat – Systemvetarprogrammet, inriktning affärs- och
verksamhetsutveckling
Hinder och möjligheter med
införandet av ISO 27001
Sammanfattning
Internetanvändande har de senaste 20 åren växt på en global nivå från 2 % till 40 %. Detta har ökat den allmänna hotbilden mot organisationer och deras sårbarhet till förlust av viktig information. Idag har flera
organisationers värde större omfattning som består av information. International Organization for Standardization (ISO) samt International Electrotechnical Commision (IEC) bildar ett system som används för global standardisering inom informationssäkerhet. ISO 27001 är ett hjälpmedel för att skapa ett strukturerat och effektivt arbetssätt för organisationer att öka den allmänna säkerheten samt kontrollen inom organisationen.
Syftet med studien är att beskriva hur personalens förutsättningar påverkas vid en implementering av ISO 27001-standarden i en medelstor
organisation. För att ta reda på hur personalens förutsättningar påverkas vid en ISO 27001-certifiering utfördes en kvalitativ datainsamling, i form av intervjuer, på en medelstor organisation som nyligen har infört ISO 27001. Fyra intervjuer utfördes med personer som arbetar med IT-säkerhet på undersökningsföretaget.
Studien beskrev att anställdas förutsättningar påverkades, genom att de var tvungna att arbeta efter en ny arbetsstruktur i samband med införandet av ISO 27001. Anställda var positiva till att ISO-certifieras, eftersom att det ansågs vara en del av säkerhetsarbetet. Det fanns också en osäkerhet kring hur det dagliga arbetet samt rutinerna skulle påverkas av ISO 27001.
Nyckelord: ISO 27001, IT-säkerhet, ledningssystem, certifiering,
Summary
The use of Internet has grown for the past 20 years on a global level from 2% to 40%. This has increased the general threat against organizations and their vulnerability to the loss of important information. Several activities value in large scale consists of information today. International
Organization for Standardization (ISO) and International Electrotechnical Commission (IEC) forms a system that is used for global standardization in information security. ISO 27001 is a tool for creating a structured and effective approach for organizations to increase public safety and control within the organization.
The purpose of the study is to describe how the staff's prerequisites are affected by an implementation of the ISO 27001 standard in a medium-sized organization. To find out how the staff's prerequisites are affected by an ISO 27001 certification a qualitative data collection was conducted, in the form of interviews, on a medium-sized organization that has
implemented ISO 27001. Four interviews were conducted with people who work with IT security at the organization.
The study described that the employee conditions were affected, because they had to work on a new working structure in connection with the introduction of ISO 27001. The employees were positive about the ISO certification, because it was considered to be part of the security work. There was also uncertainty about how the daily work and routines would be affected by ISO 27001.
Keywords: ISO 27001, IT-security, ISMS, certification, organization
Innehållsförteckning
1 Introduktion 6
1.1 Bakgrund 6
1.2 Tidigare forskning 6
1.3 Problemformulering 7
1.4 Syfte och frågeställning 8
1.5 Avgränsning 8 1.6 Målgrupp 9 1.7 Disposition ___________________________________________ 9 2 Teori 10 2.1 Informationssäkerhet 10 2.2 ISO/IEC 27001 11
2.2.1 Certifiering enligt ISO 27001 12
2.2.2 Plan-Do-Check-Act (PDCA) 13
2.3 Organisationskultur 15
2.4 Implementering av IT 16
2.4.1 Förutsättningar och förändringsarbete vid IT-implementering 17
Bilagor
1
Introduktion
I detta avsnitt presenteras undersökningens bakgrund, syfte, tidigare forskning samt frågeställning att presenteras. Avsnittet avslutas med målgrupp, avgränsning samt disposition.
1.1
Bakgrund
Internetanvändande har de senaste 20 åren växt på en global nivå från 2 % till 40 % (ITU, 2008). Detta har ökat den allmänna hotbilden mot organisationer och deras sårbarhet till förlust av viktig information (Informationssäkerhet, 2015). SIS (2014) beskriver att flera organisationers värde idag består av information. De hävdar att denna information behöver skyddas och kan så göras effektivt med hjälp av ISO 27001. ISO 27001 är ett hjälpmedel för att skapa ett strukturerat och effektivt arbetssätt för organisationer att öka den allmänna säkerheten samt kontrollen inom organisationen.
International Organization for Standardization (ISO) samt International Electrotechnical Commision (IEC) bildar ett system som används för global standardisering inom informationssäkerhet. Nationella myndigheter som är medlemmar i ISO och IEC deltar i utvecklingen av internationella standarder, genom tekniska kommittéer som har etablerats av varje myndighet. Detta leder till att myndigheterna behandlar specifika områden av tekniska aktiviteter (ISO/IEC 27001, 2013).
Tidigare studier har beskrivit vilka hinder och möjligheter det finns med att införa ISO 14001 i en organisation (Fingal & Benipoor, 2003). En liknande studie har inte gjorts för IS0 27001. Studien avser därför att undersöka personalens uppfattning kring införandet av ISO 27001.
1.2
Tidigare forskning
Fingal & Benipoor (2003) undersökte vilka hinder eller möjligheter det finns med att införa ISO 14001 i en organisation. Eftersom att ISO 14001 är ett miljöledningssystem ville forskarna undersöka vilka hinder eller möjligheter som uppstod i samband med implementationen för organisationen,
personalen samt leverantörerna. Forskningen utfördes genom en kvalitativ undersökningsmetod i form av intervjuer. Fyra intervjuer utfördes där erfarenheter visades från två konsulter, ett privat företag samt en offentlig organisation. Resultatet från deras studie visar att utbildning och resurser för personalen inom organisationen behövdes för att lyckas med att införa ett miljöledningssystem. Det generade även till en bättre kontroll i
Bladfält & Henriksson (2003) undersökte de problem som uppstår vid implementering av ISO 9000:2000 för småföretag. Studien utfördes genom en kvalitativ undersökningsmetod, där tre företag valdes ut för personliga intervjuer. Tre intervjuer utfördes och kravet på respondenterna var att samtliga skulle vara kvalitetsansvariga på företaget. Tre problem
uppmärksammades och dessa var dokumentation, kostnader och svårigheter att utföra arbetet hos anställda på företaget. Resultatet av undersökningen visar att de flesta småföretagen har välanpassade rutiner och använder sig inte av andra rutiner som kan belasta organisationen. Företag med små resurser har det svårare att lyckas med att införa ISO 9000, eftersom att de inte kan reservera tillräckligt med resurser på arbetet.
Hoy & Foley (2015) beskriver att man ska kombinera ISO 9001 och ISO 27001 vid förbättring av kvalitetshantering. En kombination av dessa ISO-standarder resulterar till att en organisation ska kunna skapa en organisatorisk effektivitet. Syftet med forskningen var att upprätta ett ramverk för att
integrera revisioner. Studien visade att en kombination av ISO 9001 och ISO 27001 ökade effektiviteten, reducerade kostnaden för organisationen samt undvek dubbelarbetet. De externa revisionerna ansåg kombinationen av ISO-standarderna ökade effektiviteten, den ökade även förmågan att utvärdera gränssnitten mellan processerna samt att upprepningar minskades.
1.3
Problemformulering
Som avsnittet ”1.2 Tidigare forskning” talar om har andra forskare genomfört undersökningar inom olika ISO-standarder som 14001, 9001 samt
9000:2000. Eftersom att dessa undersökningar fokuserade på
implementeringen av ISO-standarder i småföretag samt förbättring av kvalitetshantering berörde de andra perspektiv än det denna studie kommer att beröra.
Undersökningen som Fingal & Benipoor (2003) utförde resulterade i vilka hinder och möjligheter det fanns med införandet av miljöledningssystemet ISO 14001 i flera organisationer. Det som inte undersöktes var hur ett ledningssystem gällande informationssäkerhet påverkade personalens
förutsättningar i en medelstor organisation. Eftersom att Fingal & Benipoor’s (2003) studie genomfördes för längesedan har organisationer idag
Fingal & Benipoor’s (2003) forskning resulterade i vilka hinder och möjligheter det finns med att införa ISO 14001 i stora organisationer, kommer vi enbart inrikta oss på ISO 27001 samt dess införande i en medelstor organisation. Studien kommer att beskriva hur anställdas förutsättningar påverkas i samband med en ISO 27001-certifiering.
1.4
Syfte och frågeställning
Syftet med studien är att beskriva hur personalens förutsättningar påverkas vid en implementering av ISO 27001-standarden i en medelstor organisation. Med förutsättningar avses personalens befintliga arbetssätt samt hur dess arbetssätt kan påverkas utifrån resultatet av en ISO 27001-certifiering. Med arbetssätt menar vi personalens dagliga arbetsrutiner och säkerhetsarbete, deras inställning till säkerhet samt deras engagemang kring
ISO-certifieringen.
Tidigare studier har beskrivit hinder eller möjligheter med andra ISO-standarder (se avsnitt Tidigare forskning) därför kommer vi att fokusera på ISO 27001. Hinder eller möjligheter är ett brett område att undersöka. Vi kommer därför att avgränsa oss till att undersöka hur anställdas
förutsättningar, i en medelstor organisation, påverkas i samband med en ISO 27001-certifiering. Medelstora organisationer ska kunna se för- och nackdelar med en ISO 27001-certifiering, därför vill vi beskriva hur dess anställdas förutsättningar kan påverkas. Studiens frågeställningar lyder:
Hur påverkas personalens förutsättningar genom att implementera
ISO 27001-standarden i den medelstora organisationen?
Vad anser personalen om att införa ISO 27001-standarden i den
medelstora organisationen?
1.5
Avgränsning
Eftersom att hinder och möjligheter med en ISO 27001-certifiering är
omfattande, kommer uppsatsen att avgränsas till att beskriva ISO 27001 samt hur anställdas förutsättningar påverkas i en medelstor organisation. Med en medelstor organisation menar vi en organisation med färre än 250 anställda (Tillväxtverket, 2016).
implementering. Studien avser inte heller att göra en mappning av de hinder och möjligheter som finns med ISO-standarden.
1.6
Målgrupp
Målgruppen för uppsatsen är samtliga som är intresserade av informationssäkerhet samt personer som arbetar med IT-säkerhet i medelstora organisationer. Uppsatsen kan användas som ett stöd för medelstora organisationer som avser att införa ISO 27001 samt förbättra informationssäkerheten i sin organisation. Studien kan även ge förslag på hur man kan fortsätta med forskningen inom området.
1.7
Disposition
Nedan presenteras uppsatsens olika delar samt dess innehåll.
Kapitel 2 - Teori
Detta avsnitt kommer att beskriva teorin samt bakgrunden kring det valda ämnet.
Kapitel 3 - Metod
I metodavsnittet kommer en vetenskaplig ansats samt datainsamlingsmetod att presenteras. Etiska överväganden samt tillförlitlighet kommer också att beskrivas här.
Kapitel 4 - Resultat
Detta avsnitt kommer att presentera resultatet från datainsamlingen.
Kapitel 5 - Diskussion
Diskussionsavsnittet kommer att innefatta en analys kring resultatet samt valet av metod.
Kapitel 6 - Avslut
2
Teori
Teorikapitlet inleds med att beskriva informationssäkerhet, för att sedan utifrån en tratt-teknik, beskriva ISO 27001 samt dess implementeringsarbete. Eftersom att ISO 27001 är en del av informationssäkerhetsområdet kommer teori kring informationssäkerhet att presenteras. Kapitlet avslutas med en beskrivning över PDCA-modellen, IT-implementering samt
organisationskultur. PDCA-modellen beskriver arbetssättet för personalen vid en ISO 27001-certifiering medan organisationskulturkapitlet kommer att beskriva kulturer som finns i organisationer.
2.1 Informationssäkerhet
Informationssäkerhet inom organisationer omfattar en organisations hela infrastruktur. Den omfattar företagets processer, IT-system, tjänster, produktion samt den teknologi som utvecklats av företaget själv (Syrén, 2008). Konfidentialitet, riktighet, tillgänglighet samt spårbarhet är de
vanligaste aspekterna inom området och är en viktig grund för att skydda data (Försvarsmakten, 2013).
Informationssäkerhetsområdet inkluderar både administrativa samt tekniska åtgärder. Den tekniska åtgärden avser fysisk samt IT-säkerhet som t ex behörighetsskydd, tillträdesbegränsning, datasäkerhet samt brandskydd. Den administrativa åtgärden avser organisationen och dess rutiner. Här
förekommer även övervakning över anställda för att säkerställa att rutiner inte bryts (se Figur 1). Både den tekniska samt administrativa åtgärden kompletterar varandra, t ex om en åtgärd skulle vara teknisk kommer den att inkludera administrativa åtgärder och vice versa (Försvarsmakten, 2013).
För att information ska klassificeras som säker bör den säkras av tre typer av skydd enligt ISO/IEC 27001 (SIS, 2007a). Dessa skydd är:
Konfidentialitet Riktighet Tillgänglighet
Konfidentialitet innebär att informationen är åtkomlig av bara dem som ska
ha tillgång till den (Syrén, 2008). Informationen får inte avslöjas till personer eller enheter som inte har behörighet (SIS, 2007a).
Riktighet avser att informationen är tillförlitlig och att samtliga som tar del av
densamma kan lita på den (Syrén, 2008). Det betyder även att skydda
tillförlitlighet samt varaktighet hos information. Detta kan utföras av personer som har behörighet att lägga till, ändra eller ta bort information (SIS, 2007a).
Tillgänglighet innebär att den information som en medarbetare behöver och
har rätt till är åtkomlig (Syrén, 2008).
2.2 ISO/IEC 27001
Disterer (2013) beskriver att kärnan i ISO 27001 är planering, genomförande, drift, kontinuerlig övervakning samt förbättring av en processorienterad information security management systems (ISMS), även kallat
ledningssystem. För att se till att ett ledningssystem skapas, implementeras, kontrolleras samt underhålls på bästa sätt, har internationella
standardiseringsorganisationen (ISO) tagit fram ISO/IEC 27001. Standarden omfattar riktlinjer för hur en policy ska utformas, vilka aspekter den bör ta upp samt hur den ska underhållas. Everett (2011) hävdar att en ISO-certifiering enligt 27001 inte alltid är genomförbar för alla organisationer, eftersom att en certifieringsprocess kostar samt tar lång tid.
ISO-standarden fungerar som ett ramverk för att planera, implementera, övervaka, underhålla, kontrollera samt förbättra ett ledningssystem. När ett ledningssystem har etablerats får en organisation ett kategoriserat arbetssätt som förbättrar informationssäkerheten. Det är etableringen av ett
ledningssystem som kostar samt tar tid vid en certifiering (Crafoord & Sahlin, 2014).
Calder (2008) bekriver att ISMS inkluderar organisationsstruktur, policys, planering av aktiviteter, ansvar, praxis, procedurer och källor. Det är en strukturerad strategi för informationssäkerhet som är utformad för att säkerställa en effektiv samverkan mellan de tre viktigaste faktorerna i framtagningen av en informationssäkerhetspolicy:
Process (eller procedur) Teknologi
Användarbeteende
Tarantino (2008) beskriver att ISO 27001 är ett ledningssystem och ska inte ses som en teknisk specifikation. Organisationer behöver ett strukturerat tillvägagångssätt för att identifiera informationsrisker de står inför, ekonomiska konsekvenser av dessa hot samt lämpliga metoder för att begränsa specifika och identifierade risker.
Enligt Tarantino (2008) behöver säker information en metod som handlar lika mycket om processen samt det individuella beteendet såväl som det handlar om tekniska försvar. ISO 27001 är en standard som innehåller aktuell informationssäkerhet samt ger organisationer ett effektivt och pålitligt ramverk för att skydda tillgångar samt förbättra konkurrenskraften (Tarantino, 2008).
2.2.1 Certifiering enligt ISO 27001
För att kunna certifieras enligt ISO 27001 måste ett företag uppfylla vissa kriterier.
Sentor (2015) beskriver att en informationssäkerhetspolicy ska utformas för att beskriva organisationens mål för säkerhet och den bör visa:
Syftet och målet med policyn Vilken organisation det avser Vilken säkerhetsnivå ska uppnås? Hur ska kriser och incidenter hanteras?
Vem ansvarar för vad? Hur är säkerhetsarbetet fördelat? Vad har anställda för rättigheter och skyldigheter?
GAP-analysen ska jämföras mot ISO 27001-standarden, för att kunna ta reda på vad som ska prioriteras (Sentor, 2015).
Sentor (2015) hävdar att det är viktigt att ta reda på vilka system som är kritiska för organisationen vid en incident. En riskanalys bör därför ha gjorts. Det som ska ses över vid en incident är:
Konfidentialitet – vilka konsekvenser får det om information har kommit ut?
Integritet – Om en person modifierar data för sin egen förtjänst. Utöver de interna säkerhetsproblemen bör organisationen kunna bedöma vilka hot som kan uppstå vid exempelvis naturkatastrofer och bränder. Organisationen bör även se över vilka skydd och risker för att vara förberedd på hot (Sentor, 2015).
Utifrån GAP-analysen behöver bristerna ses över och åtgärdas för att bli ISO-certifierade. Personal måste utbildas och ständigt informeras om de
förändringar som sker (Sentor, 2015).
2.2.2 Plan-Do-Check-Act (PDCA)
Vasudevan, Ummer & Mangla (2008) beskriver ISO 27001 utgår ifrån
Plan-Do-Check-Act-modellen, vilket även övriga ISO-standarder också gör. För att
en organisation ska kunna implementera ett ISO 27001-kompatibelt
ledningssystem bör en plan först utformas för att därefter kunna genomföra och kontrollera att det som har gjorts har uppnått det önskade målet.
Affärsprocesser bör behandlas som att det är i en kontinuerlig återkoppling så att chefer kan identifiera och ändra de delar i processen som behöver
förbättras. Processen måste först planeras och genomföras för att sedan kunna mäta dess prestanda (Calder, 2008).
Calder (2008) beskriver att ISO 27001 identifierar PDCA-modellen och beskriver hur den ska tillämpas i en informationsäkerhetsmiljö.
Tillämpningen av PDCA-modellen till en processmetod innebär att
principerna för en processdesign måste ha in- och utgångar från processen.
PDCA-modellen är en struktur som organisationer utgår ifrån vid en certifiering. När förändringar uppstår är det viktigt att det framgår i
GAP-analys göras. De kriterier som måste uppfyllas för att ett företag ska kunna ISO-certifieras görs utifrån PDCA-modellen (Informationssäkerhet, 2015).
Följande faktorer ingår i PDCA-modellen (se Figur 2):
Plan Do Check Act
Act – Vidta korrigerande samt förebyggande åtgärder, baserat på resultaten av ledningens genomgång för att uppnå förbättring av ISMS (Vasudevan et al. 2008).
Figur 2: PDCA-modellen (Disterer, 2008)
Plan innebär att etablera räckvidd, säkerhetspolicy, mål, processer samt
rutiner som är relevanta för att bedöma risker för att förbättra
informationssäkerheten. Det genererar till att resultatet överensstämmer med organisationers övergripande mål och policys (Vasudevan et al. 2008).
Do betyder att implementera och driva säkerhetspolicyn, där kontrollerna
valdes som ett resultat av riskbedömningsprocessen, liksom processerna och procedurerna för ISMS (Vasudevan et al. 2008).
Check innebär att bedöma och mäta processprestanda mot säkerhetspolicy,
Act betyder att vidta korrigerande samt förebyggande åtgärder, baserat på
resultaten av ledningens genomgång för att uppnå förbättring av ISMS (Vasudevan et al. 2008).
2.3 Organisationskultur
Kultur är bunden till organisatorisk framgång eller misslyckande. Det finns
bevis på att det tillämpar en känslig, men en kraftfull inverkan, på resultaten av informationssystem. Boody, Boonstra & Kennedy (2008) beskriver att skillnader i olika kulturer påverkar aktörers beteende på Internet, medan man på en organisationsnivå fokuserar på kulturen som en av flera förklaringar till motsägelsefulla konsekvenser som kan uppstå inom organisationer (Boody, Boonstra & Kennedy, 2008).
Schein (2004) beskriver att kulturer studeras genom att fokusera på skillnader i värderingar som medlemmar i en grupp har. Sådana värderingar är en uppsättning av sociala normer som visar vad som är viktigt för en grupp samt hur de interagerar med varandra. Quinn, Faerman, Thompson & McGrath (2003) beskriver att organisationer använder värderingsmodeller som
rekommenderar att man har inbyggda motsättningar mellan två dimensioner – flexibilitet och kontroll på en axel samt en intern och extern fokus på den andra. Dessa fyra kulturtyper visar konkurrerande värderingar som påverkar människors arbetssätt samt interaktion (se Figur 3):
Open systems Rational goal Internal process Human relations
Open systems-kulturen fokuserar människor på den yttre miljön, man ser det
som en källa till idéer och resurser. De ser det också som svårt och komplext. Motivationsfaktorerna är tillväxt, stimulans samt kreativitet. Exempel på organisationer med denna kultur är nystartade företag samt
affärsutvecklingsenheter (Boody et al. 2008).
Rational goal-kulturen ser människor en enhet som söker effektivitet.
Effektivitet definieras när det gäller produktion samt ekonomiska mål som uppfyller stabila externa krav. Chefer skapar strukturer för att kunna hantera effektiviteten. Motivationsfaktorerna är konkurrens samt att uppnå mål. Exempel på organisationer är stora produktions- eller serviceverksamheter (Boody et al. 2008).
Människor i Internal process-kulturen ägnar lite tid åt den yttre världen och fokuserar istället på interna frågor. Målet är att göra enheten effektiv, stabil samt kontrollerad. Målen är kända, uppgifterna återkommande och
metoderna är specialiserade. Chefer tenderar till att vara försiktiga och betonar tekniska frågor. Motivationsfaktorerna är säkerhet, stabilitet samt ordning (Boody et al. 2008).
Human relations-kulturen betonar värdet av informella, mänskliga relationer
snarare än formella strukturer. Kravet är högt på att behålla organisationen och välbefinnande av dess personal, samt definiera effektivitet när det gäller att utveckla människor och deras engagemang. Chefer tenderar till att vara delaktiga och stödjande. Motivationsfaktorer är sammanhållning samt medlemskap (Boody et al. 2008).
2.4 Implementering av IT
IT används för att utforma, samla samt överföra information och data genom att använda hård- samt mjukvara. Implementering av IT kan resultera i fördelar för en organisation, eftersom att det kan öka konkurrenskraften, strategiska fördelar samt att man arbetar smartare. Genom en
IT-implementering kan organisationer spara pengar (Bajdor & Grabara, 2014).
För att en IT-implementering ska lyckas i en organisation måste
Rouse (2015) hävdar att en implementering innebär att en förändrings görs i en organisations tekniska arkitektur, därför är det vanligt att problem uppstår i implementeringsprocessen. För att förebygga problem vid
implementeringsprocessen bör organisationer ha ett nära samarbete med leverantörer samt konsulter för att lösa problem som uppstår. Vanliga
problem som uppstår vid en implementering är att inte deadline hålls, att man överskrider implementeringens budget samt förseningar som uppstår bland de externa parter som används (Rouse, 2015).
2.4.1 Förutsättningar och förändringsarbete vid IT-implementering
Paul, Yetes & Cadle (2010) beskriver att implementeringen av nyaaffärsprocesser och IT-system kan ha konsekvenser, där några är självklara och enkla att hantera, medan andra är svårare. Slutanvändarna kan kräva ny kunskap eller att deras nuvarande arbetsroll försvinner. Förändring av
arbetsroller kan också resultera till en förändring i olika grupper, men också i nuvarande avdelningar. Anställda kan fråntas sina arbeten om inte en
anpassning till de nya arbetsrollerna sker. De nya eller förändrade
arbetsrollerna som anställda måste anpassas efter kan kräva ett nytt arbetssätt.
Förändringar i en organisation sker i en viss omgivning som påverkar hur förändringen sker och hur framgångsrikt det blir. Denna omgivning består av tre faktorer (se Figur 4):
Den yttre miljön Organisationen Individen
Figur 4: Organisationsmiljön vid en förändring (Paul et al. 2010)
Individer kan exempelvis uppmuntras till att ha en mer positiv inställning till
förändringar genom utbildning, stöd samt engagemang med
aspekter kvarstår som tidigare. Dessa aspekter innefattar processer,
funktioner samt kulturen i organisationen. Den yttre miljön är mindre under kontroll av förändringen (Paul et al. 2010).
Yttre miljön
Den yttre miljön innehåller allt utanför organisationen. Detta är indelat i den allmänna miljön som gäller för alla organisationer samt verksamhetsdomäner, inom vilken en särskild organisation verkar. Verksamhetsdomänen består av individer, grupper samt organisationer. Ur ett förändringsperspektiv är den yttre miljön viktig, eftersom att den ger en sporre till förändring. Således kan utvecklingen eller införandet av ny teknik vara attraktivt, eftersom att det hjälper en organisation att bli mer effektivare än sina konkurrenter. Beteendet hos organisationens konkurrenter är en viktig drivkraft för förändring (Paul et al. 2010).
Organisationen
De viktigaste aspekterna som påverkar eller påverkas av en förändring i en organisation är:
Strategi Struktur Resurser
Erfarenhet av en förändring
Strategi kan beskrivas som att matcha externa krav med interna resurser.
Eftersom att den yttre miljön förändras, hjälper strategin till att skilja mellan de förändringar som måste göras. Organisationen behöver fortfarande anpassa sig till den förändrade situationen (Paul et al. 2010).
Strukturen i en organisation kan påverkas av en förändring, men även
påverka möjligheten som uppstår av förändringen. Organisationer med olika organisationsstrukturer har olika resurser att hantera förändringar.
Exempelvis har konsultföretag samt medieföretag enklare att hantera
förändringar, eftersom det dagliga arbetet består av projekt. Projektmetoden kan därför användas till att göra förändringsarbetet enklare (Paul et al. 2010).
Resurserna i en organisation kan skiljas från organisation till organisation.
Om resurserna hanteras på ett korrekt sätt är man medveten om (Paul et al. 2010):
Vilka resurser man har till sitt förfogande Vad resurserna kan åstadkomma
Den huvudsakliga faktorn en organisation har är dess anställda. Om
organisationen är medveten om den kompetens anställda innehar, kan man se till att man är förberedd för förändringar. Andra resurser som är viktiga ur ett förändringsperspektiv är verksamhetsprocesser, system samt den teknologi som används för att stödja detta (Paul et al. 2010).
Individen
Förändringar sker av människor som utför de nya eller befintliga processerna samt arbetar med nya IT-system. Detta är den svåraste aspekten när det handlar om förändringar, eftersom reaktionen av inblandade parter kommer att ha en stor inverkan på framgången av förändringen. Därför är det viktigt att förstå (Paul et al. 2010):
Vilka intressenterna är Vilken typ av intresse de har
Den sannolika reaktionen på förändringen
Människor har olika uppfattningar till förändringar. Vissa är positiva till att en förändring sker, eftersom att människor ser det som en möjlighet som de kan ha nytta av. Exempel på en möjlighet är en befordran som gynnar en individs karriärsutveckling. Vissa är negativa till en förändring, då man betonar de svårigheter och risker som uppstår vid en förändring.
3
Metod
I detta kapitel förklaras och beskrivs undersökningens tillvägagångssätt. Vetenskaplig ansats, tillförlitlighet, etiska överväganden datainsamling samt val av analysmetod kommer att presenteras här.
3.1
Vetenskaplig ansats
När vetenskapliga studier genomförs finns det två ansatser som man utgår ifrån – en induktiv samt deduktiv ansats. Studien kommer att behandla den deduktiva ansatsen, vilket innebär att man går från teori till empiri. Detta betyder att man skaffar sig kunskap och sedan samlar in empirin, för att se om kunskapen överensstämmer med verkligheten (Jacobsen, 2002). Vid genomförandet av denna studie har vi tagit fram intervjufrågor från tidigare forskning samt teori för att kunna utföra datainsamlingen. Ett vanligt tillvägagångssätt inom deduktion är att utifrån teorin, skapa hypoteser som man sedan testar empiriskt (Bryman, 2002). Hypoteser har inte tagits fram i vår studie, däremot har teori samt intervjufrågor använts. Vi har dock använt teori samt intervjufrågor från tidigare forskning som undersöktes i vår datainsamling. Detta gjordes genom ett deskriptivt tillvägagångssätt. I deskriptiva studier finns det en särskild kunskap om det som ska studeras, därför behöver man inte utgå ifrån hypoteser (Jansson, 2013). Seimyr (2012) hävdar att det redan finns viss kunskap, därför avgränsas vissa perspektiv av de fenomen som man är intresserad av. Detta tillvägagångssätt har varit lämpligt, eftersom att vi inte har behövt ta fram hypoteser i studien, eftersom att det fanns relevant forskning inom liknande områden.
3.2
Datainsamling
För att samla in empiri valde vi att göra en kvalitativ undersökning i form av öppna individuella intervjuer. Öppna individuella intervjuer syftar åt att få fram information genom exempelvis ord eller berättelser. Denna typ av intervju utförs ansikte mot ansikte, men kan även utföras genom telefon. Den insamlade datan ska sedan sammanställas samt analyseras av forskarna (Jacobsen, 2002). Anledningen till att intervjuer gjordes var för att vi ville föra djupare diskussioner med personal som har specifik kompetens kring forskningsområdet. Vi ville även få en öppen diskussion kring
intervjufrågorna, då Jacobsen (2002) hävdar att ju fler diskussioner som förs med respondenterna, desto mer information kan de bidra med till ämnet. Jacobsen (2002) beskriver att intervjuer är en bra datainsamlingsmetod när relativt få enheter undersöks samt när man är intresserad av den enskilde individen säger. Dessa argument stämmer överens med det vi vill få ut av intervjuerna. Eftersom att vi valde att genomföra en kvalitativ studie ansåg vi att öppna individuella intervjuer var ett lämpligt sätt att samla in data på.
Jacobsen (2002) beskriver att en intervju kan vara strukturerad, semi-strukturerad eller öppen. För att samla in empirisk data valdes öppna intervjuer, eftersom att det tillvägagångssättet främst beskriver en respondents kunskap kring forskningsområdet. Vi ville även intervjua personal med en specifik position inom organisationen, därför valdes en kvalitativ undersökningsmetod.
3.2.1
Urval
Populationen för studien innefattar undersökningsföretaget, vars anställda uppgår till cirka 100 anställda. Undersökningsföretaget arbetar med att utveckla löne- samt HR-system. Urvalstekniken som användes för att ta fram respondenter för en personlig intervju var det strategiska urvalet. Ett
strategiskt urval innebär att personer som kommer ge en särskild svarstyp väljs ut (Jacobsen, 2002). Detta ledde till att personal med en specifik
kunskap inom forskningsområdet kunde bidra med relevanta svar för studien.
Anledningen till att ett strategiskt urval gjordes, var för att studien bygger på respondenternas uppfattning och erfarenhet kring ISO 27001. Därför valdes personal med specifik kunskap kring informationssäkerhet. I samband med det strategiska urvalet valdes fyra personer som har specifik kunskap kring informationssäkerhet och arbetar med säkerhetsrelateradefrågor på
Fyra intervjuer utfördes, där frågorna berörde varje respondents
arbetsbakgrund samt dess kunskap om ISO 27001. Samtliga intervjufrågor var baserade på den framtagna teorin samt tidigare forskningen. Anledningen till att fyra intervjuer utfördes var att vi ville få personalens uppfattning kring ISO 27001 samt att de har en specifik position inom organisationen.
Respondent A har flera års erfarenhet av utveckling och har haft olika roller inom företaget. Personen studerade datakommunikation på yrkeshögskola och ansvarar idag över företagets interna IT samt produktionsmiljön.
Respondent B arbetar idag som utvecklingschef på företaget. Hen studerade till systemvetare på universitetet och ansvarar idag för förvaltningen av HR-system.
Respondent C har en ledande position på undersökningsföretaget och arbetar med ledning och styrning. Med ledning och styrning betyder att hen
identifierar det som ska göras, när det ska göras samt vilka som ska göra det. Hen studerade till elektroingenjör på universitet och har tidigare arbetat som teknikchef samt projektledare.
Respondent D arbetar som systemförvaltare på företaget. Hen är tekniskt ansvarig för produkten som är ett HR-system och ansvarar även för ett team som består av 17 personer. Hen studerade till systemvetare och har även haft flera roller i företaget som t ex programmerare, arbetsledare och slutligen chef.
Samtliga respondenter har olika roller samt arbetsuppgifter på
undersökningsföretaget, vilket resulterar till att uppfattningen kring ISO 27001 kan skilja sig åt. För att få en omfattad datainsamling vill vi nå alla uppfattningar.
3.2.2
Genomförande
Intervjufrågorna skapades utifrån den framtagna teorin (se avsnitt Teori) kring undersökningen samt den tidigare forskningen inom
forskningsområdet. En av författarna har tidigare praktiserat på
respondent. Intervjuer som sker ”ansikte-mot-ansikte” genererar till att undersökaren får sanningsenlig information (Jacobsen, 2002).
Totalt utfördes fyra intervjuer med sammanlagt 10 frågor (se Bilaga 1). Varje intervju pågick i cirka 25 minuter. Fler respondenter skulle ha deltagit i undersökningen, men dessa kunde inte närvara, vilket resulterade i bortfall.
Frågorna delades upp i block och berörde följande områden:
Arbetsbakgrund ISO 27001
Anledningen till att intervjufrågorna delades upp i block var för att få en tydlig struktur i samband med intervjuerna, då utgångspunkten har varit att arbeta utifrån en tratt-teknik, vilket innebär att man börjar med övergripande frågor för att sedan avsluta med detaljerade frågor (Jacobsen, 2002).
Efter att intervjufrågorna hade arbetats fram utfördes två testintervjuer, där syftet var att få feedback angående de framtagna frågorna. Några
intervjufrågor korrigerades efter testintervjuerna, då de uppfattades som otydliga.
3.3
Analys
Enligt Jacobsen (2002) finns det tre tillvägagångssätt att använda sig av vid analys av kvalitativ data:
Beskrivning – Innebär att få en bra och detaljerad beskrivning av data som har samlats in.
Systematisering och kategorisering – Innebär att man rensar bort onödig information samt att de svar man har fått in generaliseras.
Kombination – Betyder att undersökaren tar reda på vad som har sagts eller gjorts.
Analysen av data som har samlats in har baserat sig på två tillvägagångssätt –
beskrivning samt systematisering och kategorisering. Samtliga respondenters
svar har sammanställts utifrån ovanstående analysfaser.
anteckningar under intervjuerna. Efter samtliga intervjuer sammanfattades svaren med respondenterna, för att se till att korrekt information hade
antecknats. Detta ansåg vi var lämpligt, eftersom att samtliga parter kunde se att de data som antecknades överensstämde med det som sades. Vi valde att inte spela in intervjuerna, för att respondenterna inte skulle känna obehag, men även för att minimera risken med undersökningseffekten samt att främja för diskussioner.
Eftersom att det förekom diskussioner i samband med intervjufrågorna togs information som inte har varit nödvändig för studien bort. Detta underlättade sammanställningen av intervjusvaren, då det som inte var relevant för
forskningsfrågan exkluderades. Vid sammanställning av intervjusvaren strukturerade vi dessa i olika kategorier genom våra teoretiska ramverk. De teoretiska ramverken behandlar säkerhetsområdet, certifieringsarbetet samt organisationskulturer. Detta gjordes för att sammanställningen av
intervjusvaren skulle vara enklare att analysera gentemot de teoretiska ramverken i diskussionsavsnittet (se avsnitt Resultatdiskussion).
Ovanstående tillvägagångssätt har använts på samtliga intervjuer. Anledningen till att denna analysmetod tillämpades var för att den var användbar i vår studie, eftersom att onödig information togs bort samt att vi fick en bra helhetsbild över det som samlades in. Informationen som
samlades in har varit en bidragande faktor till resultatet.
3.4
Tillförlitlighet
Enligt Jacobsen (2002) ska en undersökning vara en metod som ska användas vid insamling av empiri. Beroende på vilken slags empiri man använder sig av bör två krav uppfyllas:
Empirin måste vara giltig och relevant. Empirin måste vara trovärdig och tillförlitlig.
Samtliga intervjufrågor kommer att presenteras som en bilaga för att ge läsaren möjlighet att se vilka frågor som ställdes till respondenterna (se
Bilaga 1). Detta resulterar till att undersökningen håller en god kvalité samt
får en högre trovärdighet.
Jacobsen (2002) beskriver att det är viktigt att minimera de problem som kan uppstå med reliabilitet och validitet. Med reliabilitet menas att
Intervjuerna kommer att ske fysiskt på undersökningsföretaget på respektive respondents kontor. Samtliga respondenter godkände tid och plats för intervjun. Valet av att genomföra intervjuer fysiskt tycker vi har varit en bidragande faktor till datainsamlingen, eftersom att respondenterna fick välja tid och plats för varje intervju. Intervjuerna utfördes på respektive
respondents kontor. Detta genererade till att respondenterna inte sattes i en oläglig situation (Jacobsen, 2002).
Validitet betyder att man avser att mäta det man faktiskt önskar att mäta (Jacobsen, 2002). För att höja validiteten på datainsamlingen intervjuades två testpersoner för att se till att intervjufrågorna inte tolkades som otydliga. Deras svar togs bort från studien, för att resultatet inte skulle påverkas. För att nå en hög validitet valde vi att intervjua personer som har en specifik
kompetens samt yrkesroll på företaget. Vi använde oss även av intervjufrågor från tidigare studier inom området samt teori, vilket även ökade validiteten.
Jacobsen (2002) hävdar att det finns en risk för att respondenterna känner sig påverkade av undersökaren när kvalitativa studier genomförs, även kallat undersökningseffekten. Författaren hävdar också att en kvalitativ
datainsamlingsmetod inte tar hänsyn till undersökningseffekten. Eftersom att det är frivilligt att delta i vår studie samt att respondenternas personuppgifter inte lämnas ut, tycker vi inte att vår metod påverkar respondenternas svar. Respondenterna kunde svara på frågorna i sin egen takt, då det inte fanns någon tidspress, vilket genererar till att undersökarna inte påverkar
respondenternas svar. Detta har genererat till att tillförlitligheten har höjts.
3.5
Etiska överväganden
Jacobsen (2002) beskriver att det finns grundkrav som måste uppfyllas för att en undersökning ska vara bra. Vi har därför två aspekter som sågs över under studien för att undvika etiska problem:
Informerat samtycke – Personen som undersöks ska frivilligt delta i studien och vara medveten om riskerna med deltagandet (Jacobsen, 2002). Detta framgick genom att vi var tydliga mot respondenterna att undersökningen var frivillig samt vad syftet med undersökningen var.
Privatliv – Personer som undersöks har rätt till ett privatliv (Jacobsen, 2002). Vi var tydliga mot respondenterna att inga personuppgifter skulle lämnas ut vid ett deltagande i studien.
4
Resultat
I detta kapitel kommer resultatet från intervjuerna att visas.
4.1
Intervjuer
Den insamlade empirin har sammanställts och kategoriserats i tre huvudsakliga kategorier. Vid sammanställningen av resultatet hittades samband i respondenternas svar som vi valde att kategorisera till
organisationskultur, certifieringsarbete samt säkerhet.
Organisationskultur
Alla respondenter är eniga om att den gamla arbetskulturen kan vara ett hinder, eftersom att det kommer att ta tid att anpassa sig till de krav ISO 27001 ställer på produkter och arbetsrutiner. Som respondent B beskriver, så är det svårare för vissa personer att anpassa sig till en ny arbetskultur, vilket beror på att man inte är van vid organisationsförändringar. Respondent B hävdar också att kunskapen kring ISO 27001 är ytlig, men att en certifiering inom ISO-standarden samt dess arbete som följer med är positivt.
”Det kommer att ta tid att anpassa sig till det nya arbetssättet, men detta är en långsiktig investering som kommer att gynna oss i framtiden.”
(Respondent B)
Respondent D hävdar att en ISO-certifiering resulterar till att organisationen blir attraktivare på marknaden, då man kan utöka kontaktnätverket både lokalt samt globalt, vilket kan leda till samarbeten med stora organisationer. Respondent D hävdar också att ett nytt arbetssätt i organisationen kan knyta nya medarbetare från hela världen om man har samarbete med organisationer i olika delar av världen.
”Det finns inget hinder med att implementera ett nytt arbetssätt i samband med certifieringen, utan det kommer att generera en stor framgång för
organisationen. ”
(Respondent D)
”Den gamla arbetskulturen är ett hinder, då det kommer att ta tid att anpassa sig till en ny arbetskultur. Samtidigt är det spännande med
förändringar. ” (Respondent A)
Respondent C har varit med i implementeringen av ISO 27001 på sin förra arbetsplats och är medveten om hur en certifiering går till. Inställningen till en ISO 27001-certifiering är negativ, då hen beskriver att problemet är att lägga det på rätt nivå. Det är mycket administration kring certifieringen, men hen förstår behovet av att ISO-certifieras. Respondenten hävdar även att anledningen till att ISO-certifieras enligt 27001 är att få till ett arbetssätt som är integrerat i befintliga processer. Personalen kommer även att ha högre medvetenhet vid arbetet kring det dagliga arbetet, för att kunna förebygga vanliga problem som kan uppstå.
”Personalens dagliga arbete kommer inte att påverkas, utan det kommer bli en säkrare miljö för dem att arbeta i.”
(Respondent C)
Certifieringsarbete
Samtliga respondenter är positiva till att ISO-certifieras enligt 27001, eftersom att det är ett bra stöd för utvecklingsarbetarna och medvetenheten om säkerhetsriskerna är högre. Respondent B hävdar att ISO-certifiera organisationen är en stor möjlighet, då organisationen kan bli ännu större och rekrytera nya medarbetare.
”Man kommer vara mer medvetenheten kring risker samt hot. Dessa kommer även att kunna förebyggas i tidigare stadie”
(Respondent B)
Att ISO-certifieras enligt 27001 hävdar respondent C är viktigt, eftersom att det ger en status som en betrodd leverantör. Möjligheterna med att ISO-certifieras är att man blir konkurrenskraftigare på marknaden. Detta lockar större och fler kunder i landet, vilket genererar i nyanställningar och en högre omsättning. Säkerhetsmässigt är det bra, eftersom att man kommer att kunna kontrollera vem som gör vad i systemen.
”Att ISO 27001-certifieras genererar även i en högre ställning på marknaden, då man klassificeras som en organisation som tar
informationssäkerhet på allvar ”
(Respondent C)
sätt. ISO 27001 inkluderar personalens arbete samt hårdvaran, därför är det viktigt att se helhetsbilden – tillvägagångssättet vid hantering av epost samt vilka krav det finns på hårdvaran. Att certifieras enligt ISO 27001 genererar även i en högre status, då man klassificeras som en organisation som tar informationssäkerhet på allvar.
”Certifieringsarbetet kommer att ta tid och det kommer att löna sig för oss, främst det dagliga arbetet men också att vi får ett utökat kundnätverk.”
(Respondent A)
Respondent D tror att ta det kommer att ta tid att anpassa sig, men att det kommer att vara lönsamt i längden. Ser man det ur företagets perspektiv kommer det att ge en högre status som bolag, man blir attraktivare på marknaden, men även att man kommer att växa sig större. Respondenten hävdar även att man utökar kontaktnätverket både lokalt samt globalt, vilket kan leda till samarbeten med stora organisationer. Hen ser inte något hinder med att ISO 27001, utan man tror att det kommer att generera en stor framgång för organisationen.
Säkerhet
Möjligheter med ISO 27001 hävdar respondent C är att man blir
konkurrenskraftigare på marknaden. Detta lockar större och fler kunder i landet, vilket genererar i nyanställningar och en högre omsättning.
Övervakningsprogram inkluderas även i företaget, för att kunna logga samt övervaka anställdas arbete. Detta medför att säkerheten inom organisationen blir högre, men även att det ger ett bra rykte utåt.
”Säkerhetsmässigt är det bra, eftersom att man kommer att kunna kontrollera vem som gör vad i systemen.”
(Respondent C)
Respondent B hävdar att de hinder och möjligheter som finns med en ISO 27001-certifiering är att mer tid kan läggas ner på att arbeta med
säkerhetsfrågor, fast att man gör det till en viss del implicit idag. Det kommer att generera att man får en status som leverantör, då man kommer att vara pålitlig. Säkerhetsarbetet utförs av personal vars huvudsakliga uppgifter är att förebygga hot och problem som kan uppstå. Fördelningen strukturerat på avdelningsnivå, där respektive avdelning sköter säkerheten inom det specifika arbetsområdet.
”En certifiering inom ISO 27001 är en långsiktig investering, då organisationen får en högre ställning bland organisationer inom samma
bransch”
ISO 27001 inkluderar personalens arbete samt hårdvaran, därför är det viktigt att se helhetsbilden – tillvägagångssättet vid hantering av epost samt vilka krav det finns på hårdvaran. Respondent A och D hävdar att en certifiering enligt ISO 27001 bra för företag, då det visar att säkerhet är något som tas på allvar. Det genererar även att kunderna beskriver företaget som pålitligt och kan svara på frågor gällande säkerhet. Målet med certifieringen är att klassificeras som en säker organisation.
”Personalen kommer att anpassa sig efter de nya riktlinjer och policys som införs och därmed prioritera säkerheten.”
(Respondent A)
Hindret med införandet av ISO 27001, hävdar respondent D, är att det kommer att ta lång tid att anpassa arbetet efter standarden. Den
administrativa delen, främst dokumentationen av ISO-standarden, kommer att ta tid. Man kommer få lägga om befintliga resurser, vilket genererar att andra saker kommer att påverkas av det.
”Det kommer bli extra viktigt att dokumentera allt som görs, för att bevara en hög säkerhet i organisationen.”
5
Diskussion
Detta avsnitt kommer att innefatta en analys av resultatet samt metoden. Vi kommer att ta upp skillnader samt likheter som finns mellan teori och det framtagna resultatet. Avsnittet avslutas med en reflektion över metodvalet.
Resultatet kommer att diskuteras utifrån de valda kategorierna som presenterades i resultatkapitlet (se avsnitt Resultat).
5.1 Resultatdiskussion
Organisationskultur
Boody et al. (2003) beskriver att kultur är bunden till organisatorisk framgång eller misslyckande, vilket visas på resultaten av
informationssystem. Respondenterna var eniga om att den nuvarande arbetskulturen skulle påverkas i samband med införandet av ISO 27001 och att de var tvungna att arbeta efter en ny arbetsstruktur. Detta medförde att samarbetet mellan avdelningarna blir allt viktigare, samtidigt som förståelse kring nyttan med ISO 27001 ökar. Eftersom att respondenterna har olika bakgrunder samt yrkesroller har de olika värderingar och tankesätt, där Schein (2004) beskriver att kulturer studeras genom att fokusera på skillnader som personer i en grupp har.
Eftersom att ISO 27001 är ett ledningssystem som resulterar i säker informationshantering, är det viktigt att bryta den nuvarande normen och anpassa sig efter förändringar, för att säkerställa att arbetssättet förblir säkert. Det resulterar till att det dagliga arbetet kan anpassa sig efter de kulturtyper Quinn et al. (2010) beskriver, där fokus kan vara på exempelvis tillväxt, sammanhållning samt säkerhet.
Certifieringsarbete
Samtliga respondenter var positiva till att ISO-certifieras enligt 27001, då det ansåg vara en del av säkerhetsarbetet. Det fanns en osäkerhet kring hur arbetet skulle fördelas samt hur personalen skulle påverkas. Detta bekräftas av Sentor (2015) som beskriver att syftet och målet med certifieringen måste vara definierat, man måste visa vad som ska uppnås med certifieringen samt visa på vilket sätt anställda kommer att påverkas av införandet.
Att ISO-certifieras enligt 27001 medför även nya riktlinjer och policys på arbetssättet i organisationen. Detta bekräftas av Vasudevan et al. (2008) som beskriver att PDCA-modellen (se Figur 2) är en plan som bör följas när en organisation upprättar en ISO-certifiering. Respondenterna ansåg att
hävdar vi kan vara en bra utgångspunkt, eftersom att organisationen undgår att skapa ett nytt arbetssätt och därmed sparar tid.
Samtliga respondenter hävdar att arbetsuppgifterna vid en ISO-certifiering kommer att fördelas mellan avdelningarna och personalen. Personalen kommer även vara medvetenheten kring eventuella risker och hot som kan uppstå. Detta bekräftas även av Rouse (2015) som hävdar att
implementeringar misslyckas på grund av planering, otillräckliga resurser samt att personalen inte är förberedd på oförutsedda problem som kan uppstå.
Det befintliga arbetssättet kommer att förändras, då personalen kommer att behöva anpassa sig till ett nytt arbetssätt i samband med ISO-certifieringen. Detta bekräftas även av Paul, Yetes & Cadle (2010) som beskriver att implementeringen av nya affärsprocesser och IT-system kan ha
konsekvenser. Konsekvenser som kan uppstå är att anställda kan fråntas sina arbeten om inte en anpassning till ett nytt arbetssätt sker samt att
arbetsrollerna kan förändras.
Säkerhet
IT-säkerhet är ett område som respondenterna ansåg var viktigt. Området berör ett flertal säkerhetsaspekter, där främst riktlinjer samt policys kommer att påverka personalens arbetssätt. Detta bekräftas av Försvarsmakten (2013) som beskriver att informationssäkerhet delas upp i två säkerhetsområden – administrativ samt teknisk säkerhet. I detta fall ligger fokus på det
administrativa arbetet, där respondenternas nuvarande arbetssätt förändras och nya riktlinjer upprättas.
Ur personalens perspektiv kan nya riktlinjer och policys resultera till att man arbetar utifrån ett arbetssätt som leder till en långsiktig investering för framtiden. Uppföljning och utvärdering kan då göras för att se hur
arbetssättet har påverkat organisationen. Eftersom att säkerhet är ett område som samtliga respondenter hävdar är viktigt, eftersom att det genererar i högre status, behöver man ett arbetssätt som är anpassat efter de nya förändringarna.
5.2
Metodreflektion
Datainsamling
Vi valde att göra en kvalitativ studie, eftersom att vi ville samla in kunskap hos personal med kompetens inom informationssäkerhetsområdet. Vi ansåg att respondenternas olika yrkesroller samt tidigare erfarenheter skapade diskussioner som skildrade olika infallsvinklar som berör ISO 27001. Intervjuerna resulterade till att vi fick svar på våra frågor samt att diskussioner kunde föras med respondenterna. Vi hade velat utföra fler intervjuer, för att kunna stärka resultatet samt få andra respondenters
uppfattning samt erfarenhet kring forskningsområdet. Om vi hade genomfört studien igen hade en mer genomgripande undersökning gjorts, där vi hade kunnat genomföra undersökningen på flera medelstora organisationer och sedan jämfört dessa.
Vi valde att inte genomföra en kvantitativ studie, eftersom att en sådan studie inte hade skildrat respondenternas enskilda perspektiv samt erfarenheter kring ISO 27001. Hade vi genomfört en kvantitativ undersökning, i form av en enkätundersökning, hade vi samlat in rådata. Om en enkätundersökning hade skickats ut till hela populationen i organisationen, hade vi inte fått relevanta svar, eftersom att personal som inte arbetar med säkerhetsfrågor hade svarat på enkäten.
En kvalitativ studie i form av intervjuer ger forskaren detaljerade svar som kan användas för att generera kunskap. Vi valde att inte genomföra studien på flera medelstora organisationer, eftersom att vi avgränsade oss till en
medelstor organisation.
Analys
Att följa Jacobsens (2002) tillvägagångssätt för att analysera kvalitativ data ansåg vi var lämpligt eftersom att data som var obehövlig togs bort.
Analysstegen systematisering och kategorisering samt beskrivning resulterade till att data som inte var relevant för studien togs bort samt att sammanställningen av resultatet blev enklare. Eftersom att båda författarna närvarade vid samtliga intervjuer var det enkelt att strukturera intervjuerna, där en intervjuade samtidigt som den andre förde anteckningar. Därför hävdar vi att det var enkelt att följa Jacobsens (2002) analyssteg för den insamlade datan.
Tillförlitlighet
På grund av tidsramen genomfördes intervjuer med de tillgängliga respondenterna, vilket också resulterade i att vi fick in data.
6
Avslutning
I detta avsnitt kommer slutsatser samt förslag på fortsatt forskning att presenteras.
6.1
Slutsats
Studien avsåg att beskriva hur personalens förutsättningar påverkas vid en implementering av ISO 27001-standarden i en medelstor organisation. Respondenterna var eniga om att den nuvarande arbetskulturen skulle påverkas i samband med införandet av ISO 27001 och att de var tvungna att arbeta efter en ny arbetsstruktur. Detta resulterade i att samarbetet mellan avdelningarna i organisationen blir viktigare, samtidigt som förståelsen kring nyttan med ISO 27001 ökar bland personalen.
Genom vår studie har vi kommit fram till att respondenterna var positiva till ISO 27001-certifieras, eftersom att det ansågs vara en del av säkerhetsarbetet. Osäkerhet kring hur arbetet skulle fördelas fanns bland personalen, men även hur det skulle påverka personalens arbete samt rutiner.
Genom vår studie har vi också kommit fram till att respondenterna hävdar att IT-säkerhet är ett viktigt område. Säkerhetsområdet omfattar flera
säkerhetsaspekter, där riktlinjer och policys kommer att påverka personalens arbetssätt. Respondenterna hävdar att säkerhetsområdet är viktigt, eftersom att det genererar i högre status. Därför kommer ett arbetssätt som är anpassat efter de nya förändringarna att behövas.
6.2
Förslag till fortsatt forskning
Fortsatt forskning skulle kunna bygga vidare på denna studie, där man jämför två eller flera medelstora eller stora organisationer som har infört ISO 27001. Detta kan utföras med ett kvalitativt tillvägagångssätt, i form av intervjuer, för att se eventuella likheter och skillnader mellan organisationerna.
En undersökning kring hinder och möjligheter med att införa övriga ISO-standarder kan också utforskas. Detta för att kunna göra jämförelser och se skillnaden med att införa en viss ISO-standard i en organisation t ex vilka problem/möjligheter som kan uppstå.
Eftersom att informationssäkerhetsområdet ständigt utvecklas är det viktigt att forskning inom området sker. Att undersöka kring övervakning av
Referenser
Bajdor, P. & Grabara, I. (2014). The Role of Information System Flows in Fulfilling Customers’ Individual Orders. Journal of Studies in Social
Sciences, ss. 96-106.
Bladfält, D. & Henriksson, D. (2003). En fokusering på de problem som
uppstår vid implementering av ISO 9000:2000 för småföretag.
Kandidatuppsats, Ekonomistyrning, Luleå Tekniska Universitet.
Boddy, D., Boonstra, A. & Kennedy, G. (2009). Managing Information
Systems, Strategy and Organisation. Prentice Hall. Third edition.
Bowin, J. (2007). SIS Handbok 550 - Terminologi för informationssäkerhet, Utgåva 3, SIS Förlag, 2011.
Bryman, A.(2002). Samhällsvetenskapliga metoder. Malmö: Liber
Calder, A. (2008). ISO27001/ISO27002: A Pocket Guide. IT Governance Publishing.
Crafoord, M. & Sahlin, H. (2014). Ett anpassat ledningssystem för
informationssäkerhet. Kandidatuppsats, Informationsvetenskap/Data- och
systemvetenskap, Uppsala universitet.
Disterer, G. (2013). ISO/IEC 27000, 27001 and 27002 for Information Security Management. Journal of Information Security, ss. 92–100.
Everett, C. (2011). Is ISO 27001 worth it?, Computer Fraud & Security, pp. 5-7.
Fingal, C. & Benipoor, S. (2003). ISO 14001 – Hinder eller
möjligheter?Kandidatuppsats, Miljövetenskap, Malmö Högskola.
Försvarsmakten (2013). Handbok säkerhetstjänst, informationssäkerhet. Stockholm: Försvarsmakten.
Gorton, I. (2006). Essential Software Architecture. Springer-Verlag Berlin Heidelberg.
ISO/IEC 27001 (2013) Information technology – Security techniques –
Information security management systems – Requirements, Winterthur: SNV
Schweizeriche
ITU. (2008). ICT Data and Statistics.
http://www.itu.int/ITU-D/ict/statistics/ict/ [2016-05-27]
Jacobsen, D. I.(2002). Vad, hur och varför?: Om metodval i företagsekonomi
och andra samhällsvetenskapliga ämnen. Studentlitteratur AB, Lund.
Jansson, M. (2013). Bibblan svarar. Vad innebär kvalitativ deskriptiv design?
http://bibblansvarar.se/sv/svar/kan-nidu-forklara-vad-kvalita [2016-05-20] MSB. (2015). Informationssäkerhet – Trender 2015.
https://www.msb.se/RibData/Filer/pdf/27494.pdf [2016-05-27]
Paul, D., Yeates, D. & Cadle, J.(2010). Business Analysis. British Informatics Society Limited. Second edition.
Quinn, J.B., Faerman, S.R., Thompson, M.P., & McGrath, M.R.(2003).
Becoming a Master Manager. Third edition, John Wiley & Sons Ltd.,
Chichester.
Rouse, M. (2015). Implementation.
http://searchcrm.techtarget.com/definition/implementation [2016-06-18] Schein, E.(2004). Organization Culture and Leadership. Third edition, Jossey-Bass, San Francisco, CA.
Seimyr, Ö, G. Ping Pong. 2012. Vetenskapsmetodik Statistik och
vetenskapsmetodik.
http://pingpong.ki.se/public/pp/public_courses/course05887/published/12897
56281091/resourceId/3959718/content/infoweb/node-2610658/vetenskapsmetodik.pdf [2016-05-20]
Syrén, A. (2008). Stora säkerhetshandboken – En praktisk årskalender. SIS Förlag.
Swedish Standards Institute, SIS. (2007a) SS-ISO/IEC 27001:2006
Swedish Standars Institute, SIS.(2014) SS-ISO/IEC 27001:2014
Informationsteknik – Säkerhetstekniker – Ledningssystem för informationssäkerhet – Krav. Stockholm: SIS Förlag AB
Talib, A. M., Barachi, E. M., Khelifi, A & Ormandjieva, O. (2012). Guide to ISO 27001: UAE Case Study. Internal Organization for Standardization, ss. 331-349.
Tarantino, A. (2008). Governance, Risk and Compliance Handbook:
Technology, Finance, Environmental, and International Guidance and Best Practices. John Wiley & Sons, Inc.
Tillväxtverket.(2016). EU:s definition av SMF / SME.
http://www.tillvaxtverket.se/huvudmeny/insatserfortillvaxt/foretagsutvecklin g/cosme/eusdefinitionavsmfsme.4.21099e4211fdba8c87b800017125.html [2016-04-25]
Vasudevan, V., Mangla, A. & Ummer, F.(2008). Application Security in the
Bilagor
Bilaga 1 – Intervjufrågor
Introduktionsfrågor
Vad är din position på arbetsplatsen?
Vad har du för bakgrund? Utbildning
Tidigare arbetsroller
ISO 27001
Har du arbetat med ISO förut?
Vad är dina tankar kring ISO 27001 certifiering i allmänhet?
Vad är era mål och förhoppningar med ISO 27001 certifiering?
Vad kan du om ISO-27001?
Vad tycker du om införandet av ISO 27001 i organisationen?
Vilka hinder och möjligheter möttes ni av?
Hur påverkades personalens arbetssätt av ISO 27001 (PDCA-modellen)?
Vilka var era drivkrafter till att ISO-certifiera er?
Hur har säkerhetsarbetet fördelats kring ISO 27001?
Hur har informationshanteringen påverkats av certifieringen?
Bilaga 2 - Ordlista
Datasäkerhet – Skyddar datorsystem samt dess data. Syftar till att hindra
obehöriga från att komma åt viktig data (Bowin, 2007).
Informationssäkerhet – Säkerhet för informationstillgångar (Bowin, 2007). IT-säkerhet – Säkerhet kring IT-system med fokus på att förhindra att
obehöriga kommer åt viktig data (Bowin, 2007).
Ledningssystem för informationssäkerhet (LIS) – Syftar till att underhålla,
övervaka, införa samt förbättra informationssäkerhetsarbetet. Är en del av ett ledningssystem och grundar sig på en organisations risktänkande. Även kallat
Information Security Management System (ISMS) (Bowin, 2007).
